Daha 2021 gibi yakın bir tarihte, kötü şöhretli Rus APT28, Cisco’nun IOS ve IOS XE işletim sistemi yazılımının eski sürümlerini çalıştıran ağ yönlendiricilerini Avrupa ve Amerika devlet kurumlarındaki ağlarda arka kapılar konuşlandırmak için kullanıyordu.
APT28 – diğer adıyla Fancy Bear, Strontium, Tsar Team ve Sofacy Group – en çok Ukrayna’ya karşı kampanyalar Ve 2016 ABD seçimleri. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), bu grubu Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) bir parçası olan 85. Özel Hizmet Merkezi, Askeri İstihbarat Birimi 26165’e bağladı.
NCSC, Ulusal Güvenlik Ajansı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI bu hafta ortak bir tavsiye yayınladı APT28’in teknik olarak daha az etkileyici ancak daha ekonomik manevralarından birinin ana hatlarını çiziyor. Bulgularına göre grup, “yaklaşık 250 Ukraynalı kurbanın” yanı sıra “az sayıda” AB ve ABD hükümet kurumuna erişmek için yama uygulanmamış Cisco yönlendiricileri kullandı.
Kampanya iki yıl önce gerçekleşmiş olmasına rağmen, Bir blog gönderisinde Cisco Talos ulus-devlet aktörleri tarafından “ağ altyapısına yönelik son derece karmaşık saldırıların oranındaki artıştan” ne kadar “derin endişe duyduğunu” ifade etti.
Cisco Talos’un ulusal güvenlik müdürü JJ Cummings, “Son birkaç yılda – hatta son altı ila 12 ayda – bu tür altyapıyı hedeflemede kesinlikle bir artış gördük” diyor. “Bence bu muhtemelen buzdağının sadece görünen kısmı.”
Savunmasız Yönlendiricilerden Yararlanma
29 Haziran 2017’de, Cisco bir dizi güvenlik açığını ortaya çıkardı Basit Ağ Yönetimi Protokolü’nde (SNMP), IOS sürüm 12.0 – 12.4 ve 15.0 – 15.6 ve IOS XE 2.2 – 3.17 çalıştıran ağ cihazları için bir iletişim protokolü.
Şirket, özel hazırlanmış bir SNMP paketinin, saldırganların etkilenen cihazlarda uzaktan kod yürütmesine veya cihazların yeniden başlatılmasına neden olabileceğini açıkladı. Güvenlik açıkları altında gruplandırıldı CVE-2017-6742 ve 8.8’lik bir “Yüksek” CVSS puanı atadı.
SNMP güvenlik açıkları için bir yama yıllar önce yayınlanmış olsa da, 2021’de APT28, ABD, AB ve öncelikle Ukrayna hükümet ağlarına erişmek için Cisco yönlendiricilerini kullanmaya devam ediyordu.
Yöneticilerin ağ cihazlarını uzaktan izlemek ve yapılandırmak için SNMP’yi kullanması gibi, APT28 de bunu cihazlara uzaktan erişmek ve ağlara sızmak için kullandı.
Danışma belgesi, “Bir dizi yazılım aracı, SNMP kullanarak tüm ağı tarayabilir”, “bu, varsayılan veya tahmin etmesi kolay topluluk dizeleri kullanmak gibi zayıf yapılandırmanın bir ağı saldırılara açık hale getirebileceği anlamına gelir.”
Özellikle, APT28, yönlendiricileri kırmak ve bazı durumlarda yönlendiricileri dağıtmak için varsayılan genel dize gibi zayıf parolalardan – Cisco tabiriyle “topluluk dizeleri” – yararlandı. “Jaguar Dişi” kötü amaçlı yazılımı. Jaguar Tooth, cihaz bilgilerini çalarak ve kalıcı erişim için bir arka kapı yerleştirerek CVE-2017-6742’den yararlanmak üzere özel olarak tasarlanmıştır.
Binlerce Yönlendirici Çevrimiçi Olarak Açığa Çıkıyor
dikkate değer sayıda kurumsal İnternet yönlendiricileri bugün faaliyette olan, açık internette halka açık olarak ifşa edilmektedir. Ve sadece açığa çıkmış değiller, aynı zamanda savunmasızlar. Ölçek için şunu göz önünde bulundurun:
Bir dizi güvenlik açığı keşfedildikten sonra birden fazla Cisco Küçük İşletme Yönlendiricisi Bu yılın başlarında yazılım şirketi Censys, potansiyel olarak savunmasız cihazları çevrimiçi olarak taradı. Arama, 20.000’den fazla sonuç döndürdü ve bunların büyük çoğunluğu hala bu güne eşit derecede maruz kalıyor.
Ve bir yazılım şirketi bu cihazları tanımlayabildiği gibi, bilgisayar korsanları da tanımlayabilir.” Siber suçlular, internete bağlı açıkta olan cihazları taramak ve aramak için genellikle Shodan veya Nmap gibi araçlar kullanırlar,” diye açıklıyor KnowBe4 güvenlik bilinci savunucusu James McQuiggan. “Kuruluşlar, eski eski sistemleri çalıştırırken keşfedilmemelerini umarak ‘belirsizliğe dayalı güvenlik’ modelini deneyebilir,” diyor, ancak bu cihazları bulup bu kadar kolay bir şekilde istismar edebilen bilgisayar korsanları “elektronik ön kapıyı açtı.”
Cisco, BT altyapısına yönelik yeni güvenlik açıkları ve riskler hakkında düzenli olarak bilgi yayınlar. 18 Nisan’da yayınlanan bu blog yazısı
Yönlendiriciler Neden Yamasız Kalır?
Cummings, BT ortamlarında, yönlendirme cihazlarının yıllarca yamasız kalmasının bir ana nedeni olduğunu gözlemliyor. “Bir ağ operasyonları ekibinin birincil görevinin ne olduğunu bir düşünün: ağı çalışır durumda tutmak, değil mi?” Güvenilirlik ve kullanılabilirliğin bu önceliklendirilmesinin bir yan ürünü, “bir cihaz bozuk değilse, belki de tamir etmeyecekler” olabilir.
Ayrıca, güncelleme bazen operasyonlar için – geçici de olsa – maliyetli olabilir. “Yükseltme işleminin mutlaka zor veya meşakkatli olmasa da, ağ kullanılabilirliği için her zaman risksiz olmadığını birkaç durumda gördük.” Kullanılabilirlik birincil hedefse, “bunu etkilememek için teşvik edilirlerse, önlerine çıkan her şey, çekinecekleri bir şeydir.”
CVE-2017-6742’yi ele almak için IOS ve IOS XE’nin güncellenmesi gereklidir, ancak bunu yapmanın zor olduğu durumlarda BT yöneticilerinin benzer altyapı ihlallerine karşı sağlamlık sağlamak için yapabileceği başka basit değişiklikler vardır. “Güncellemeler mümkün değilse,” diyor McQuiggan, “ağ izleme – üçüncü taraf tarafından yönetilen bir güvenlik hizmeti tarafından olsa bile – izinsiz girişler ve dışarıya dönük ağ ekipmanına olası yetkisiz girişler konusunda uyarı verebilir.”
Cisco, blog yazısında, altyapıyı güvenilen kullanıcılarla sınırlama ihtiyacını her şeyden çok vurguladı. “Ağ cihazlarına yetkisiz doğrudan iletişimi önlemek için tasarlanan altyapı erişim kontrol listeleri (ACL’ler), ağlarda uygulanabilecek en kritik güvenlik kontrollerinden biridir” diye yazdılar. “Bu güvenlik açıklarından yararlanma en iyi şekilde, güvenilir yöneticilere ve IP adreslerine erişimi kısıtlayarak önlenir.”
